Тысячи взломанных сайтов WordPress используются для распространения CryptoWall 3.0

Исследователи безопасности компании Zscaler сообщают о масштабной вредоносной кампании, в ходе которой злоумышленники используют более 2,6 тыс. скомпрометированных сайтов WordPress для распространения вымогательского ПО CryptoWall 3.0. По данным экспертов, хакеры внедрили вредоносные плавающие фреймы (iframe) в более 4 тыс. страниц ресурсов, использующих версии WordPress 4.2 или предыдущие. В свою очередь, данные фреймы перенаправляют пользователей на целевую страницу, содержащую набор эксплоитов Neutrino.

Данная страница разработана с целью эксплуатации уязвимостей в медиаплеере Adobe Flash для инфицирования вредоносом CryptoWall 3.0 компьютеров пользователей Internet Explorer. Не лишним будет отметить, что создатели Neutrino включили в набор эксплоиты для брешей во Flash, утекшие в результате взлома корпоративной сети Hacking Team практически сразу после того, как похищенная информация была опубликована в свободном доступе.

По словам экспертов из Zscaler, обнаруженная ими вредоносная кампания свидетельствует о росте популярности Neutrino. Этот факт подтверждает и исследователь безопасности ИБ-компании Rackspace Брэд Данкан (Brad Duncan). Полученные им данные говорят о том, что атакующие, ранее использовавшие набор эксплоитов Angler, в последние несколько месяцев изменили предпочтение в сторону Neutrino. В настоящее время ввиду отсутствия полной информации не представляется возможным определить, перманентны ли эти изменения. Тем не менее, хакерские группировки в прошлом не раз молниеносно меняли тактику, поэтому не исключено, то ситуация изменится, отметил Данкан в своем блоге.